Get Cyber Resilient Ep 81 | Aufbau einer positiven Cybersicherheitskultur - mit Andrew Pritchett
Unser Gast in dieser Woche ist Andrew Pritchett, CIO bei Grant Thornton Australia.
Andrew hat eine einzigartige Karriere hinter sich, die ihn durch eine Reihe von Branchen geführt hat, von der Blechproduktion über das 10-Pin-Bowling bis hin zur IT, wo er schnell zum CIO aufstieg.
Andrew bringt seine einzigartige Perspektive in dieses Gespräch ein, in dem es um den Aufbau einer positiven Cybersicherheitskultur und die Führung von Veränderungen anhand des Acht-Schritte-Prozesses von Kotter geht. Andrew führt uns durch diesen Prozess und seine Grundsätze in Bezug auf Geduld, Ausgewogenheit, Coaching und Transparenz.
Die Get Cyber Resilient Show Episode #81 Transkript
Garrett O'Hara: Willkommen zum Get Cyber Resilient Podcast, ich bin Garrett O'Hara. Wir sprechen heute mit Andrew Pritchett, dem Chief Information Officer von Grant Thornton. Es ist immer ein gutes Zeichen, wenn man mit 20 schon in ein interessantes Gespräch vertieft ist und noch nicht einmal die Aufzeichnung des eigentlichen Interviews gestartet hat. Andrew hat wirklich eine verschnörkelte Karriere hinter sich, von der Blechbearbeitung über den Bowlingtrainer bis hin zu einem Nachtjob als Computerbediener. Und von da an ging es Schlag auf Schlag mit einer Beförderung nach der anderen, bis hin zu CIO-Positionen. Andrew hat für die Get Cyber Resilient-Website über eine positive Cybersecurity-Kultur geschrieben, einschließlich der Veränderung der Führungsebene mit Carters achtstufigem Prozess als Rahmen. Wir sprechen darüber im Detail, einschließlich der einzelnen Schritte des Prozesses, und auch über Andrews Grundsätze für die Förderung des kulturellen Wandels. Diese Grundsätze lauten: Sei geduldig, sei ausgewogen, sei ein Coach und sei transparent. Zurück zum Gespräch.
Willkommen zum Get Cyber Resilient-Podcast, ich bin Garrett O'Hara. Heute haben wir Andrew Pritchett zu Gast, den Chief Information Officer von Grant Thornton. Wie geht es Ihnen heute, Andrew?
Andrew Pritchett: Ziemlich gut. Ich freue mich einfach auf ein Gespräch.
Garrett O'Hara: Als Erstes bitten wir die Gäste immer, uns zu erzählen, wie sie dorthin gekommen sind, wo sie heute sind. Offensichtlich sind Sie Chief Information Officer bei Grant Thornton, aber Sie hatten natürlich auch andere Funktionen, aber es wäre toll, wenn Sie uns einen Eindruck von Ihrem Weg dorthin geben könnten, wo Sie heute stehen.
Andrew Pritchett: Ja, ich glaube, es war ein ziemlich unkonventioneller Weg, würde ich sagen, denn ich habe als Fabrikarbeiter angefangen, als Blechbearbeiter.
Garrett O'Hara: Okay.
Andrew Pritchett: [lacht] und, und Dachdecker, und Dachrinnen und, und ich wurde aus diesem Job entlassen. Und dann habe ich in einer Bowlingbahn gearbeitet, und während ich dort gearbeitet habe, habe ich zum Beispiel Schuhe verteilt und Parfüm in die Schuhe getan und Puder und, na ja, ich war kein Bowler. Ich hatte einfach Glück, dass ich über die Zeitung einen Job bekommen habe. Mir wurde klar, dass ich wahrscheinlich etwas tun musste, das vielleicht ein bisschen besser ist oder ein bisschen mehr Möglichkeiten für ein Einkommen bietet, um... Sie wissen schon, ein stabiles Einkommen zu erzielen. Ich ging also zum TAFE mit dem einzigen... dem einzigen Ziel, einen Job in der Technik zu bekommen, der, Sie wissen schon, beständig sein würde oder etwas, bei dem ich vielleicht nicht entlassen werden würde.
Ich besuchte das TAFE, beendete den Kurs aber nicht. Nach etwa drei Vierteln des Kurses bekam ich die Möglichkeit, einen Job bei Diners Club zu bekommen, damals eine Kreditkarte. Und er war ein Nachtcomputerbediener, ein Computerbediener wie ein Servicetester, aber man, man nimmt im Grunde Ausdrucke von Druckern und steckt sie in Schubladen und man könnte... wissen Sie, die technische Seite davon könnte sein, man geht... man geht zu einem Großrechnerbildschirm und tippt 14, Komma, 15, Komma 10, und man könnte das sieben oder acht Mal pro Nacht machen. Und das war in den sieben Jahren, in denen ich das gemacht habe. Und dann gab es so etwas wie das Jahr 2000, eine große Sache in der IT-Industrie, wo jeder wirklich Angst vor dem Jahr-2000-Fehler hatte.
Garrett O'Hara: Ja.
Andrew Pritchett: Und es gab eine große, große... eine große... Ich war ein Nachtschichtler, habe also nur nachts gearbeitet. Und ich war morgens da und die... alle sahen mich nicht wirklich als Teil des Teams. Ich war einfach nur ein Außenseiter, der nachts da war, wie in einer Fernsehserie. Und sie kamen herein, und die IT-Leute kamen herein, es waren ungefähr 40 IT-Leute, und sie kamen und sagten: "Sie müssen in der Nähe bleiben, wir haben ein Meeting. Wir werden streiken." "Okay, cool. Ich bin schon seit 12 Stunden hier. Es ist, Sie wissen schon, 8 Uhr an einem Montagmorgen. Ich bin erschöpft, aber ja, sicher.
Ich saß also da und dann kam der damalige CIO zu mir und sagte: "Wo sind die anderen, Andrew? Was tust du noch?" Er war aufrichtig um mein Wohlergehen besorgt. Und ich sagte: "Oh, ich glaube, sie sind gerade in einer Besprechung." Er geht also zu einem Treffen und sie sind... sie waren. In der Sitzung kam es zu einem großen Streit zwischen allen 40 Mitarbeitern und dem CIO. Und auf der Stelle hat er den Sender entlassen... Das Netzwerkteam. Er hat sie auf der Stelle entlassen. Das war's, sie sind weg. Wir hatten also zwei Novell Mitarbeiter. Und Novell war sozusagen vor Windows oder, Sie wissen schon?
Und er kam zu mir rüber und sagte: "Du bist ziemlich schlau. Sie sind jetzt mein Netzwerkspezialist." So bekam ich meine erste technische Rolle, und es ging ums Schwimmen oder Sinken. Und das habe ich ein paar Jahre lang getan. Und dann wurde ich irgendwie immer weiter befördert, bis ich schließlich einige wirklich gute Chefs hatte und einen Aushilfsjob als CIO bekam, als mein Chef wegging. Als er zurückkam, bekam ich eine Vollzeitstelle als CIO in einem anderen Unternehmen, und seither habe ich in verschiedenen professionellen Dienstleistungsunternehmen gearbeitet. Ja, Anwaltskanzleien, Wirtschaftsprüfungsunternehmen auf dieser Ebene. Also, ja, das ist wahrscheinlich eine nicht-traditionelle... Ich bin aber zurückgegangen und habe meinen MBA gemacht. Also fühlte ich... Ich, ich... das war definitiv etwas, das mich davon abgehalten hat, einen Managementjob zu bekommen, weil ich keinen Abschluss hatte.
Also ging ich zurück und begann meinen MBA, was lange dauerte, aber ja, das war definitiv etwas, das mir geholfen hat, die Glaubwürdigkeit zu erlangen, um eine CIO-Stelle zu bekommen.
Garrett O'Hara: Ja. Sehr cool. Und nur mal so aus Interesse: Wie gut kannst du bowlen? Ich weiß, dass du... hinter dem Schreibtisch gearbeitet hast, aber hattest du auch die Gelegenheit, dich mit den Stiften zu beschäftigen?
Andrew Pritchett: Ja, ich glaube, einmal hatte ich über 200. Ich war eigentlich Trainer, ich konnte also nicht bowlen, aber ich kannte die Technik, um andere zu trainieren. Sie hatten also so etwas wie Coaching-Programme, und ich musste tatsächlich Leute coachen, die viel besser waren als ich. Aber das wussten sie nicht, weil sie einfach annahmen, dass ich dort arbeitete und es etwas war, das eigentlich nicht zu meinem Wohlfühlbereich gehörte. Ich fühlte mich also als absoluter Stricher. Also ja.
Garrett O'Hara: Ja. Interessant, dass wir coachen, und noch nicht, wir wollen hier nicht zu weit vom Weg abkommen, aber ich denke oft, dass man nicht unbedingt sehr gut in der Sache sein muss. Man muss einfach gut darin sein, Menschen zu coachen und sie erkennen zu lassen, was sie manchmal noch besser machen müssen, oder?
Andrew Pritchett: Ja. Ich glaube, das ist tatsächlich wahr. Und das gilt wahrscheinlich auch für die heutige Arbeit. Ich bin... ich weiß nichts über Softwareentwicklung, über das Programmieren bestimmter Sprachen oder was auch immer. Das sind meine Leute, aber ich kann ihnen dabei helfen, darüber nachzudenken, wie man etwas strukturiert, oder, Sie wissen schon, Dinge, die man darüber hinaus berücksichtigen sollte, die, Sie wissen schon, eher allgemeiner Natur sind. Und so denke ich, ich weiß, dass wir über Bowling-Coaching sprechen, aber das war sehr ähnlich. Mir wurde zum Beispiel gezeigt, wie man trainiert, nicht wie man bowlt.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Und dann dachten sie, dass ich eigentlich ganz gut darin bin. Und sie gaben mir immer wieder Arbeit, und ich bekam diese Coaching-Sache, die... Es hat mir kein Geld eingebracht, weil ich nur der Schuhverkäufer war, aber es brachte... es brachte dem Bowling zumindest Geld ein, weil die Leute alles für eine Stunde bezahlten, um trainiert zu werden.
Garrett O'Hara: Ja. Das ist interessant für mich, weil ich vermute, dass du wahrscheinlich eine sehr wichtige Erfahrung gemacht hast, die zu dem heutigen Thema führt, das sich um Kultur dreht, aber ich habe das Gefühl, dass das, was du gerade gesagt hast, nämlich zu lernen, wie man coacht, und nicht zu lernen, wie man bowlt, der Unterschied ist, wenn es darum geht... Man sieht die ganze Zeit Leute, die in einer Rolle wirklich sehr gut sind. Und dann werden sie in die Führungsebene befördert, weil sie gut in dieser Rolle sind. Und dann stellt sich heraus, dass sie eigentlich nicht sehr gut im Management sind, weil niemand... wissen Sie, das ist eine ganz andere... es ist eine ganz andere Fähigkeit.
Andrew Pritchett: Ja. Es gibt ein Modell für so etwas. Es nennt sich Peter-Prinzip. Und es ist ein Modell, das besagt, dass man in dem Maße befördert wird, in dem man inkompetent wird. (lacht) und ich, ich... ich bin mir ziemlich sicher, dass ich ein paar Mal auf meine Inkompetenzstufe befördert wurde. Ich hatte also ziemliches Glück, aber ja, ich hatte auf jeden Fall ein paar Freunde, und wir haben immer darüber gescherzt. Das ist dein [inaudible 00:07:22] und du wirst befördert und du musst deine Persönlichkeit, deinen ganzen Stil anpassen, um zu überleben. Und ich glaube, in unserem letzten Gespräch... in der Einleitung habe ich gescherzt, dass ich mich wie ein Hochstapler fühle. Ich habe das Gefühl, dass ich ziemlich viel schauspielere. Ich denke, das ist der springende Punkt. Eigentlich bin ich tief im Inneren ein Nerd, oder tief im Inneren bin ich ein technischer Mensch.
Und für die Empathie muss ich wirklich hart arbeiten. Ich... Ich kann das jetzt besser. Ich könnte so weitermachen, ich glaube, das baut auf, aber die Empathie und die... und die... die Soft Skills sind etwas, das mich lange Zeit sehr gefordert hat. Einige Leute, die mir im Laufe der Zeit Bericht erstattet haben, würden mich wahrscheinlich auch jetzt noch für den schlechtesten Manager der Welt halten, also.
Garrett O'Hara: Aber sie sind sich bewusst genug, um zumindest die Möglichkeit in Betracht zu ziehen, denn es ist erstaunlich, wie viele Menschen in Führungspositionen, ja, das würde ihnen nicht einmal... [lacht] nicht unbedingt in den Sinn kommen würde. Sie waren sehr freundlich und haben vor kurzem einen Artikel für die Website Get Cyber Resilient geschrieben, also die Schwester-Website des Podcasts,
Andrew Pritchett: Ja.
Garrett O'Hara: ... der Leitfaden für den Aufbau einer positiven Cybersicherheitskultur. Und ja, ich nehme an, die große Frage, mit der man beginnen sollte, ist, warum eine positive Cybersicherheitskultur in einer Organisation überhaupt wichtig ist, was eine wirklich einfache Antwort zu sein scheint... es gibt eine offensichtliche Antwort, aber ja, ich würde gerne Ihre Meinung dazu hören.
Andrew Pritchett: Nun, ich habe eine Geschichte von heute. Also, vor zwei Stunden haben wir... heute ist unser Aussperrungstag für Cyber und für... Wenn Sie heute noch nicht im Internet gehandelt haben, ist heute der Tag der Aussperrung. Wir haben also gerade 130 Personen aus ihren Konten gesperrt. Und ich hatte einen wirklich netten Kerl.
Garrett O'Hara: [lacht]
Andrew Pritchett: Du - du lachst. Das ist... das...
Garrett O'Hara: Ich, ich bin. (lacht)
Andrew Pritchett: Ich hatte einen wirklich netten Kerl zu Besuch. Ich habe ihn seit zwei Jahren nicht mehr gesehen, wegen COVID und so. Er ist ein ziemlich schlauer Kerl. Er ist ein älterer Mann. Er bekommt viel Geld. Er ist ein Spitzenkandidat, man kann gar nicht genug Gutes über ihn sagen, aber er ist aufgetaucht, und er hat seinen Laptop in der Hand. Er sagt: "Mit dem Laptop stimmt etwas nicht." Und ich sage: "Hast du deine Ausbildung gemacht?" Und er sagt: "Welche Ausbildung?" Und er liest einfach seine E-Mails nicht. Wir haben ihn aus dem Weg geräumt, und dann hat dieselbe Person vor drei Jahren einen Phishing-Angriff durchgeführt.
Garrett O'Hara: Ja. Ja.
Andrew Pritchett: Also, und wir hatten... wir haben keine Daten verloren, aber wir wissen, dass die Person sich Zugang verschafft hat. Aber wir wissen, was sie getan haben, weil wir Darktrace verwendet haben, so dass wir tatsächlich sehen können, was sie getan haben. Aber wissen Sie, das ist nur ein gutes Beispiel, ich denke, das ist nur Training. Wenn ich also von Kultur spreche, dann muss sie von der obersten Ebene abwärts ernst genommen werden. Er ist ein älterer Mann. Und wissen Sie, er ist, wie ich schon sagte, ein Top-Performer, nur, wissen Sie, es ist einfach nicht in seinem... es ist nicht einmal in seinem peripheren Blickfeld. Es ist wie mit heruntergelassenen Scheuklappen. "Ich muss nur noch meine Arbeit erledigen. Ich muss mich darauf konzentrieren, was der Kunde will." Aber ohne diese Kultur der Cybersicherheit haben Sie keinen ganzheitlichen Ansatz, denn ein Teil Ihrer Aufgabe ist es, die Daten Ihrer Kunden zu schützen. Sie wissen schon, um unsere Daten zu schützen. Und wissen Sie, er macht... er hat jetzt seine Ausbildung gemacht, also ist alles in Ordnung mit ihm.
Aber ja, es ist... Ja, es ist ein... ja, ich denke, es sind einfach so viele Aspekte dieses Punktes, dass es einfach, einfach das Grundlegende ist. Wir haben einen Vorstand, der mich für eine Reihe von Metriken verantwortlich macht, und es gibt nicht unbedingt... es gibt keine kulturellen Metriken, aber indem man das etabliert, werden sie zu einem kommen, und sie werden mit Problemen oder Chancen oder Herausforderungen zu einem kommen, wie auch immer man es ausdrücken will, anstatt eine Lösung zu finden. Man muss also etwas schaffen, das sie verstehen, und sie haben genug Verständnis, dass sie das, was sie vielleicht nicht wissen, irgendwie zu schätzen wissen. So kommt man in eine Situation, in der man sozusagen eine Chance hat. Ohne das würde ich vorschlagen... Ich habe mit anderen Firmen und Unternehmen zu tun, und der Cyber-Typ sagt, ja, alles ist ein Nein.
Garrett O'Hara: Ja.
Andrew Pritchett: Und irgendwie... arbeiten sie einfach drum herum. Und, wissen Sie, oft sind die Tage dieser Leute oder dieser Person gezählt, egal ob Mann, Frau oder wer auch immer. Ja, ja. Ich denke, als CIO müssen Sie diese Kultur etablieren und definieren, was Sie anstreben... welche Art von Kultur Sie anstreben und dann Ihre Prinzipien darauf ausrichten. Das heißt also: "Okay, ich bin kein Nein-Typ. Ich bin ein "Nein, aber"-Typ oder ein "Vielleicht"-Typ oder ein "Lass mich auf dich zurückkommen"-Typ oder ein "Lass mich herausfinden, was du zu erreichen versuchst"-Typ,", und dafür sollte man wirklich bekannt sein. Und dann kann man entweder mit dem Unternehmen oder mit den Menschen arbeiten. Und dann fangen sie an zu verstehen, man muss auch erklären und coachen, wie wir gerade darüber gesprochen haben, z. B. erklären, was die Auswirkungen sind, oder Geschichten von anderen Orten verwenden, um wirklich das Bewusstsein zu schaffen, dass es ein Problem gibt, das sie sehen können und das für sie wirklich greifbar ist. Und wenn man dann in einer guten Firma ist, kann man, wenn man Glück hat, im Laufe der Zeit irgendwie darauf aufbauen.
Garrett O'Hara: Ja, absolut.
Andrew Pritchett: Aber...
Garrett O'Hara: Und ich denke, Sie haben einige sehr wichtige Punkte in Bezug auf die Kultur angesprochen, was auf Engagement hindeutet und nicht nur auf das Verständnis, dass man etwas Schlechtes nicht tun sollte, sondern, um auf Ihren Punkt zurückzukommen, wenn ich Sie richtig verstehe, gibt es Leute, die nicht nur verstehen, dass sie es nicht tun sollten, sondern die auch engagiert genug sind, um es nicht zu tun, weil sie die weiteren Auswirkungen dessen verstehen, was es bedeuten könnte.
Andrew Pritchett: Ich glaube... Und ich glaube, wenn man einen Punkt erreicht, an dem man nicht mehr als Feind angesehen wird...
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... und die Leute respektieren dich wieder und dann haben die Leute ein Verlangen und sie wissen genug, um zu wissen, dass es wirklich ein großes Problem ist. Es ist nicht nur... wir machen nicht nur Blödsinn, es gibt Hacker, es gibt Leute, die deine Daten oder die Daten deiner Kunden oder die Daten deiner Kunden oder das Geld wollen, es gibt verschiedene Arten von Geld. Wenn man sie dazu bringen kann, die Auswirkungen zu erkennen, dann nehmen sie die Sache irgendwie ernst. Es wird zu einer brennenden Plattform oder zu einem Grund, sich zu ändern oder sich tatsächlich zu engagieren. Man muss also ziemlich ehrlich sein, ziemlich transparent. Es ist eigentlich... Ich denke, es ist ein Drahtseilakt. Es ist wie...
Garrett O'Hara: Ja.
Andrew Pritchett: ... Sie müssen sozusagen... Sie wissen, dass wir heute Konten gesperrt haben. Der Typ, der kam und sagte: "Was wäre, wenn ich einfach in ein Kundengespräch gehen würde? Sie können mein Konto nicht sperren." Ich sagte: "Nun, wir haben Ihnen eine E-Mail geschickt. Wir haben das gemacht, wir haben das gemacht, wir haben das gemacht, du hast irgendwann so viel gehabt." Und er sagt: "Nun, wer hat diese Entscheidung getroffen?" Ich sagte: "Nun, ich habe die Genehmigung des Vorstands, dies zu tun." Und er sagt: "Oh, okay, ja, das ist ziemlich ernst. Okay, cool." Also, wissen Sie, und dann... aber gleichzeitig haben wir sein Konto sofort freigeschaltet. Wir haben ihm geholfen und dafür gesorgt, dass es keine Probleme gab, dass er... wir haben ihn nicht beeinträchtigt, verstehen Sie? Und er ist der... er ist der erste, der zu uns kommt, wissen Sie, während des Lockdowns, er, er rief uns an, er hat einige Kinder zu Hause, sie fingen an, von zu Hause aus zu arbeiten und er sagte, "Wissen Sie, wir haben nicht genug Bildschirme zu Hause. Kann er irgendetwas tun?"
Also haben wir ihm einfach ein paar Bildschirme geschickt. Er weiß also, dass er sich an uns wenden kann, wenn er unsere Hilfe braucht, wenn er etwas Dummes vorhat. Wie, du weißt schon, alles, wirklich. Aber gleichzeitig weiß er auch, dass wir Dinge nicht tun... Wissen Sie, aber er ist wirklich herausgefordert, "Wer hat Ihnen gesagt, dass Sie das tun können?" Auch wenn er immer noch eine Herausforderung darstellt, wird er sich später daran erinnern, dass es erst ein paar Jahre her ist, dass er Opfer eines Phishings wurde.
Garrett O'Hara: Ja, man vergisst so etwas leicht, wenn es passiert. Und, wissen Sie, ich verstehe durchaus, was Sie mit der Gratwanderung meinen, um Ihre Worte zu gebrauchen, denn diese Sache ist so ernst, aber ich denke, Sie sind... ich stimme Ihnen voll und ganz zu, dass diese Art von positiver Verstärkung, der Aufbau der menschlichen Beziehung, die Förderung der Kultur, das ist entscheidend, und man kann... nun, man kann die Leute nicht wirklich ausschimpfen, denn sie neigen dazu, sich abzuschotten, wissen Sie, falsch zu reagieren, wissen Sie, auf die falsche Weise zu reagieren.
Andrew Pritchett: Ja. Ich denke, für... das ist eine großartige... sie sind großartig. Wenn ich versuchen würde, mit dem Kerl zu schimpfen, dann wäre er in unserer Firma ziemlich hochrangig. Er hat wahrscheinlich die Macht, mich entlassen zu lassen. Und das ist nicht gut... wissen Sie, das ist nicht die... die andere Sache, die wir zurücknehmen, ich denke, es ist eine, eine, eine ziemlich wichtige Sache, die ich einem Typen zurufen kann, der Phillips Gogy heißt. Er... wir haben tatsächlich das Beste für die Firma getan. Wenn Sie ihnen also zeigen können, dass Sie das beste Interesse an der Firma haben, was bedeutet, dass Sie sich wirklich mit den Details auskennen müssen, dann ist es wirklich hilfreich, technisch zu sein. Wenn Sie darlegen können, warum das, was Sie getan haben, im besten Interesse des Unternehmens ist, und das habe ich heute wirklich versucht zu tun. Sie verstehen es, weil es ihr Unternehmen ist, und sie verstehen es, und sie können nicht wirklich damit argumentieren.
Wenn du einfach so gehst, "Nein, ich werde nicht... aber ich werde dir nicht sagen, warum. Und das ist mir egal. Und du wirst... hier ist ein... du wirst dich über die Knöchel wickeln, und ich werde dich melden." Das ist nicht hilfreich. Wenn Sie z. B. sagen können: "Ich tue das, weil A, der Vorstand will, dass wir es tun, denn wenn wir die Schulung nicht machen und jemandem ein Phishing unterläuft und jemand eindringt und Daten stiehlt, dann stehen wir in der Zeitung und verlieren unsere Cyberversicherung. Wir verlieren Kunden, wissen Sie... einige unserer Kunden sind Banken." Wir versuchen also in jeder Hinsicht sicherzustellen, dass wir so weit wie möglich mit den kulturellen Dimensionen, den Ausbildungsdimensionen und der Sicherheit übereinstimmen, was natürlich nicht der Fall ist. Wir sprechen hier nur über die weiche Seite der Sache.
Die schwierige Seite besteht darin, die richtigen Werkzeuge und Technologien zu haben, um sie tatsächlich zu schützen. Bis zu einem gewissen Grad können sie sich also in Sicherheit wiegen, ohne sich Sorgen machen zu müssen, aber ein gewisses Maß an Aufmerksamkeit ist dennoch erforderlich. Ich... ich... Ich schweife ab, weil ich, ich, ich lache nur, weil wir tatsächlich... wir haben erst kürzlich einen Vorstandsbericht gemacht. Und im Vorstandsbericht auf einer der Folien ist zu lesen, dass wir bei unseren Phishing-Simulationen einen leichten Anstieg der Click-Throughs durch unsere Mitarbeiter feststellen.
Garrett O'Hara: Ja.
Andrew Pritchett: Es sind zwei Dinge passiert. Offensichtlich verwenden wir Mine Cast für unsere E-Mail-Spam-Filterung und -Filterung, und es hat sich... es hat sich verbessert und ist wirklich gut geworden. Sie werden also nur sehr selten Opfer eines Phish-Angriffs. Wir verwenden auch einen gezielten Bedrohungsschutz, ein Tool, mit dem Sie Ihre URLs blockieren können, nicht blockieren, sondern umschreiben, wenn die Person darauf klickt, so dass sie kommt, man darauf klickt und es tatsächlich in Echtzeit überprüft wird. Und wenn jemand anderes das markiert hat, dann ist das schon ziemlich gut. Es dauert ein paar Minuten, bis man merkt, dass der Link nicht mehr funktioniert. Wir tun also all diese Dinge, damit der Benutzer nicht über Dinge nachdenken muss.
Wenn wir sie also angreifen, können wir sie tatsächlich austricksen. Unsere Klickrate ist also höher, und wir leisten Aufklärungsarbeit und Ähnliches. Es ist also nicht das Schlimmste auf der Welt, aber die Klickrate ist wahrscheinlich höher. Aber ja, wir werden weniger. Ich weiß nicht, wie ich es erklären soll. Wir tun so viel für die Nutzer, dass sie sich in unserer Firma nicht so viele Gedanken darüber machen müssen.
Garrett O'Hara: Jepp.
Andrew Pritchett: Aber gleichzeitig müssen wir sie weiter ausbilden, denn derjenige, der durchkommt, wird derjenige sein, der sie tötet. Es bedarf nur eines einzigen Angriffs, um unser Geschäft lahm zu legen.
Garrett O'Hara: Ja. Und das, das ist der Weg. Wir werden später noch ein wenig über die Aufrechterhaltung der Sicherheitskultur sprechen, denn ich denke, das ist oft der Punkt, an dem die Räder aus dem Wagen fallen. Aber um auf Ihren Artikel zurückzukommen: Eines der Dinge, die ich persönlich sehr interessant fand, war, dass Sie den 8-Schritte-Prozess von Dr. John Kotter zum Führen von Veränderungen vorgestellt haben.
Andrew Pritchett: Ja.
Garrett O'Hara: Das hatte ich noch nicht gesehen, aber es ergab für mich einen großen Sinn. Ich bin ein großer Fan von Rahmenwerken und, Sie wissen schon, fünf Schritten zu diesem, 10 Schritten zu jenem. Ich liebe... [lacht] Ich gehöre zu den Menschen, die auf diese Art und Weise denken. Aber es wäre... wissen Sie, wir werden, ich nehme an, wir werden zu den einzelnen Schritten kommen. Es wäre gut, aus Ihrer Sicht zu verstehen, warum Sie überhaupt einen Rahmen verwenden? Und dann, wenn Sie sich vielleicht dazu äußern können, warum Ihnen der Ansatz von Kotter gefällt.
Andrew Pritchett: Ja, es ist... es... Ich erwähne es eigentlich nur, weil ich nicht alle Phasen in meinem Kopf habe. Ich bringe also nur meinen Beitrag dazu. Aber der Rahmen ist wirklich wichtig, denn viele leitende Manager oder Führungskräfte in der Wirtschaft haben einen MBA-Abschluss. Viele von ihnen haben in unserer Gruppe Kurse in Harvard besucht, z. B. zu den Themen Führung und Veränderungsmanagement, ein wirklich heißes Thema.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Wissen Sie, und sie sagen: "Wie können wir organisatorische Veränderungen erreichen? Wie erreichen wir, dass das System angenommen wird?" Das Modell gibt Ihnen also einen konkreten Anhaltspunkt.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... so dass man das Modell nehmen kann und dann kann man es als Tabelle zeichnen, ein Diagramm erstellen, eine Präsentation machen, irgendetwas machen. Und sie sind tatsächlich A, es bin nicht ich, der sagt, es ist nicht der streberhafte IT-Typ, der ihnen sagt, es ist wie John Kotter oder, wie, er ist nicht... Ich denke da an John Connor... aus Terminator. Es ist... Kotter ist wie, Sie wissen schon... er hat... er hat das entwickelt... wissen Sie, ich glaube, ursprünglich in den 60er Jahren, und es ging durch die 70er, so dass alle CEOs es in den 70er Jahren durchliefen. Es handelt sich also um ein MBA-Modell für Veränderungsmanagement... ein Modul, eine Methode, die jeder, der einen Führungskurs absolviert hat, wahrscheinlich schon einmal gesehen hat. Und das bedeutet, dass ich mir kein Gerüst ausdenken muss oder dass es mir nichts ausmacht, mir ein eigenes Gerüst auszudenken, aber es gibt dem Ganzen einfach das gewisse Etwas.
Garrett O'Hara: Jepp.
Andrew Pritchett: Und die Zuversicht, dass man die Dinge wirklich durchdenkt. Ich verwende einige von ihnen, die einem wirklich helfen, die Geschichte zu formulieren oder auf mehreren Ebenen ins Detail zu gehen. Sie treffen mehrere Interessengruppen. Einige meiner Stakeholder, die damit zu tun haben, wollen also nichts lesen. Sie werden acht Punkte auf dem Ding lesen und sagen: ". Er benutzt die von Kotter. Er muss Recht haben, Süße. Ich bin fertig." Unterschreiben Sie. Ein anderer setzt mich in einen Raum und stellt mir 90 Minuten lang Fragen und will jede einzelne Information, die ich habe, wissen, bohrt mich, bohrt mich, bohrt mich, um sicherzustellen, dass ich alles weiß und alles bedacht habe.
Wissen Sie, und, und keine Note... es ist keine Note, es ist kein Vertrauensproblem. Sie müssen sich einfach wohlfühlen. Sie fühlen sich ungeschützt, wenn sie nicht über all diese Daten verfügen, insbesondere auf Vorstands- und Geschäftsführungsebene. Wir müssen also all diese Botschaften für alle Interessengruppen verwalten, vor allem in einem Unternehmen wie dem unseren, und ich vermute, in den meisten Unternehmen jetzt auf Vorstands- oder genauer Ebene. Und dieser Ansatz gibt ihnen die Gewissheit, dass ich die Sache methodisch durchdacht habe.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... und dann gibt es mir auch einen Rahmen, in dem ich ins Detail gehen kann. Und dann, wissen Sie, fange ich ganz oben an, wissen Sie, nur die acht Schritte, wissen Sie, verankern den Wandel. Okay, was bedeutet das in diesem Fall? Okay, und dann kann ich tatsächlich sagen: "Wir werden die Änderung einbetten, indem wir dies tun," tun, tun, tun. Und dann heißt es: "Okay." Und man kann es als eine Art Drill-Down-Ansatz verwenden, um eine Geschichte zu erzählen, und dann ja. Und auch für die Kommunikation mit dem eigenen Team ist das sehr hilfreich. Wie Sie sagten, war Ihnen dieses Modell vorher noch nicht begegnet, was Sie irgendwie... aber es hat Sie sofort angesprochen.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... weil es ziemlich gut durchdacht ist. Es ist eigentlich... und es ist eine reale Welt... Es ist auch ein echter Weltvorbehalt.
Garrett O'Hara: Ja. Es gibt ein paar Dinge, die mir in den Sinn kommen, wenn Sie darüber sprechen, wie z. B. das Signal der Durchdachtheit und die Ausrichtung auf einen bestehenden Rahmen, der meiner Meinung nach sehr wichtig ist, um die Führungsebene zum Mitmachen zu bewegen, sozusagen eine Umschreibung dessen, was Sie gerade gesagt haben, aber die Arbeit ist bereits getan. Warum das Rad neu erfinden, wenn jemand ein perfektes Gerüst hat, das gezeigt und getestet wurde, das... getestet werden kann? Wie Sie schon sagten, macht es natürlich Sinn, das anzustreben.
Wären Sie in der Lage, diese Schritte des kulturellen Wandels kurz durchzugehen, da dies ein wichtiger Teil Ihres Artikels war?
Andrew Pritchett: Ja. Ich meine, ich habe es, wie gesagt, eigentlich nicht im Kopf, aber ich hatte es mal, als ich meinen MBA gemacht habe. Ich musste diese Modelle auswendig lernen. Und es gibt... es gibt ein paar Stellen im Netz, wo man sie tatsächlich alle finden kann. Aber insbesondere dieser sagt, dass es mit einem Schöpfer der Dringlichkeit beginnt. Und ich denke, das ist wirklich wichtig. Das ist meiner Meinung nach der Grund, warum viele Dinge scheitern, insbesondere IT-Projekte oder Veränderungsprojekte. Es heißt... es heißt, ein Gefühl der Dringlichkeit zu schaffen, aber ich denke, es ist eigentlich das, was... wie ich es beschreibe, eine brennende Plattform zu schaffen.
Und die brennende Plattform, die ich zu sagen versuche, ist, dass Sie diese Plattform erschaffen - Sie erschaffen diese Plattform, auf der die Person oder die Person, der Sie es erklären, steht, aber Sie bringen sie dazu zu verstehen, dass sie brennt und es ein Problem gibt. Und sie haben einen Sprung von dieser Plattform, um etwas zu verändern. Und dieser, dieser Sprung, den sie machen werden. Wenn es Ihnen also gelingt, ihnen klar zu machen, dass es ein Gefühl der Dringlichkeit gibt, oder ich verwende gerne den Begriff "Burning Platform", dann sind sie sofort auf Ihrer Seite, wenn es darum geht, etwas zu ändern, vor allem, wenn Sie nachweisen können, dass dies nicht im besten Interesse des Unternehmens ist. Wenn man also darüber nachdenkt, was ich auf... auf oder an anderen Stellen gelesen habe, dann ist es eine echte Herausforderung, Mittel für Cybersicherheitsmaßnahmen zu erhalten.
Garrett O'Hara: Ja.
Andrew Pritchett: Ich habe... wissen Sie, ich hatte nie wirklich eine Herausforderung damit, weil ich in der Lage war, das beste Interesse der Firma zu artikulieren. Und, wissen Sie, wenn ich das beste Interesse der Firma aufzeige, vor allem, wenn Sie es mit dem Vorstand und den Führungskräften zu tun haben, dann sind sie plötzlich dafür verantwortlich, dass die Entscheidung getroffen wird, etwas Fragwürdiges zu tun oder etwas nicht zu tun, was meiner Erfahrung nach zwingend notwendig ist, es sei denn, die Firma oder das Unternehmen steht unter immensem finanziellem Druck, der... und in diesem Fall könnten sie tatsächlich die Kosten aufschieben oder sie könnten etwas aufschieben.
Jetzt haben wir ein... Ich habe ein Beispiel dafür, dass, Sie wissen schon, das tatsächlich an Bord sein wird. Ein Beispiel dafür ist, dass wir die Zahlung aufgeschoben haben, und ich habe mit dem Verkäufer gesprochen und ihm gesagt: "Ich habe die Genehmigung, aber wir können erst in 12 Monaten zahlen." Und wir haben tatsächlich einen Dreijahresvertrag abgeschlossen, der im Nachhinein abgeschlossen wurde. Wir haben also noch... Und dann bin ich zurück zum Vorstand gegangen und habe gesagt: "Hey, wir müssen dieses Jahr nichts bezahlen. Und das mit einem Dreijahresvertrag, bla, bla, bla." Wir konnten diese besondere Initiative weiterführen. Ich denke also, wenn man diese Transparenz hat, wenn man dieses Gefühl der Dringlichkeit schafft, dann ist die nächste Plattform der Aufbau einer führenden Koalition.
Und dazu muss man sein Team auf seiner Seite haben. In der IT-Abteilung, insbesondere im technischen Team, wird oft darüber gestritten, welche Technologie eingesetzt werden soll, wer sie einsetzt, ob man einen Drittanbieter einsetzt oder nicht, oder ob man sie selbst einsetzt. Aber wenn man die Leute dazu bringen kann, das Gefühl der Dringlichkeit und die brennende Plattform zu akzeptieren, dann kann man sie auch dazu bringen, dem zuzustimmen. Wir müssen dies tatsächlich als eine brennende Plattform tun. Einiges von dem... einiges von dem technischen Zeug löst sich einfach auf. Und wenn es dann tatsächlich gelingt, dass die Leute die brennende Plattform verstehen, z. B. ein leitender Angestellter, dann sind sie da und unterstützen dich.
Ein Trick, den mir mein Chef gerade beigebracht hat, und ich weiß nicht, wer sich das anhören wird. Also, wenn Sie... irgendjemand, dem wir das tatsächlich antun, können Sie bitte aufhören zuzuhören? Aber was wir tun werden, ist, wenn wir dem Vorstand einen Vorschlag unterbreiten, oder wenn wir einen Vorschlag machen... Wir werden nicht irgendeinen Vorschlag, sondern einen bedeutenden Vorschlag durchbringen, indem wir uns tatsächlich trennen. Und jeder von uns wird einen der Entscheidungsträger übernehmen. Und sagen wir, es gibt sechs oder sieben Entscheidungsträger, manchmal vielleicht auch mehr. Und wir werden mit ihnen vor dem Treffen ein persönliches Gespräch führen, um die Entscheidung zu besprechen. Und wir erklären ihnen unter vier Augen: "Das ist der Grund, warum wir das tun." Und wir werden es in ihren Worten ausdrücken, wie sie es hören wollen oder...
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... darüber, wie sie lernen wollen. Wir werden ihnen Gelegenheit geben, zu fragen. Und das bedeutet oft, dass, wenn wir eine Entscheidung treffen wollen, die Koalition mit den Leuten, die im Raum sind, bereits geschlossen ist. Sie werden vielleicht nicht... sie werden nicht wissen, dass wir mit allen im Raum gesprochen haben, und wir werden ein einstimmiges Votum bekommen. Und die Leute kommen raus und sagen: "Wie hast du... Diese Typen sind sich in nichts einig." Und wir werden gehen, "Nun, ja. Nun, das liegt daran, dass wir ein gutes Geschäftskonzept vorgelegt haben." Aber das liegt nicht daran, dass wir einen guten Business Case vorgelegt haben, sondern daran, dass wir ihnen erklären konnten, warum wir das tun müssen, und sie auf unsere Seite gezogen haben. Und so hatten wir eine Koalition in der Sitzung, die wir tatsächlich nutzen konnten. Wie auch immer. Das mache ich wirklich gerne. Das ist eigentlich ganz lustig.
Garrett O'Hara: Das hört sich an wie eine Folge von "The West Wing", wo sie versuchen, Vereinbarungen über eine Sache zu treffen, und sie gehen los und arbeiten an den verschiedenen Interessengruppen und bringen die Dinge durch. Ja, das stimmt.
Andrew Pritchett: Ja. Ich glaube... Ich denke, das ist wahrscheinlich ein gutes Beispiel, aber es ist gar nicht so unähnlich, weil wir Partner sind. Meine letzten Unternehmen waren zum Beispiel Partnerschaften.
Garrett O'Hara: Ja.
Andrew Pritchett: Wir haben 160 Partner in unserer Kanzlei. Jeder dieser 160 Personen könnte jederzeit in der Geschäftsführung sein. Manchmal kenne ich die Leute nicht sehr gut, denn es ist wirklich schwer, 160 Leute in der Tiefe zu kennen. Und ich weiß nicht, es gibt einige Untersuchungen darüber, wie viele Menschen man wirklich gut kennen kann. Es sind definitiv keine 160. Das war's dann auch schon. Und ich denke, diese beiden sind der Schlüssel, und dann haben wir noch einige andere wie frühere strategische Visionen und Initiativen. Es geht also wirklich nur darum, eine... Sie wissen schon, sobald Sie die brennende Plattform und die Koalition haben und Ihren Plan aufstellen - eine Freiwilligenarmee, wie wir das in unserem Team tun, indem wir Leute dazu bringen, sich zu beteiligen.
Das bedeutet nicht, dass Sie sie nicht bezahlen, [lacht] es bedeutet nur, dass sie ihre Zeit bei der Arbeit freiwillig zur Verfügung stellen, um Ihnen tatsächlich zu helfen. Und das bedeutet, dass sie die brennende Plattform verstehen.
Garrett O'Hara: Ja.
Andrew Pritchett: Wenn man also die ersten paar Schritte richtig macht, läuft alles wie von selbst. Die, in der... Das, was mir am meisten auffällt, ist die Beseitigung von Hindernissen, was ziemlich offensichtlich ist, wie z. B. sicherzustellen, dass man die Dinge analytisch durchdenkt und Lösungen findet, um kurzfristige Gewinne zu erzielen, einige schnelle Gewinne zu erzielen und...
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... und, Sie wissen schon, das tolle, aber wir haben... Ich bin nicht nett zu Minecraft, ich weiß. Aber wir haben die Minecraft-Trainingssoftware eingeführt und arbeiten an einem anderen Produkt. Und das Produkt, an dem wir zuvor gearbeitet hatten, war eine Art 20-minütige PowerPoint-Lösung, die wirklich Fragen stellte. Und wir waren nicht einmal immer mit den Antworten einverstanden. Jetzt sind wir bei der Minecraft-Lösung angelangt. Es ist wie ein dreiminütiges lustiges Video. Das hat ihnen sofort 17 Minuten zurückgegeben.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Für sie ist es also ein schneller Gewinn. Das ist also ein gutes Beispiel für einen schnellen Erfolg. Ein weiterer schneller Gewinn könnte darin bestehen, dass wir auf Ausschreibungen für Kunden antworten, die wir jetzt für etwas nehmen, das sie sonst ablehnen würden, und das dann zu einem Ja wird. Sie nehmen also ein bisschen Schmerz in Kauf, wenn sie wissen, dass dieses Nein vor den Augen des Kunden ein Ja ist.
Garrett O'Hara: Jepp.
Andrew Pritchett: Die, die, die, wo, Sie wissen schon, die nachhaltige Beschleunigung des Institutswechsels, des Institutswechsels, wo ich denke, dass sie abfällt. Und das geht zurück auf die Prinzipien, wie man sein Team führen will. Du musst... heute Morgen hätte ich einfach sagen können: "Oh, okay, es tut mir wirklich leid. Wir werden das nie wieder tun. Und das ist... wissen Sie, in gewissem Maße habe ich das auch so empfunden. Ich fühlte mich ziemlich...
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... krank, wenn man sie damit konfrontiert. Gleichzeitig habe ich aber auch die brennende Plattform noch einmal erklärt. Sie nutzen also dieses Modell, um es zu verstärken. Und das bedeutet, dass Ihre Kommunikation immer strukturiert und abgestimmt ist. Ich habe in meiner Karriere festgestellt, dass ich versuche, keinen Scheiß zu machen, ich weiß nicht, ob man in diesem Podcast fluchen darf, aber ich versuche, nicht zu... ich versuche, sehr transparent zu sein.
Garrett O'Hara: Jepp.
Andrew Pritchett: Und ich versuche, den Ball nicht nach innen zu ziehen. Ich, ich fand... Ich habe festgestellt, dass sich das Ganze irgendwann auflöst, vielleicht nicht sofort, aber in einem Jahr, in zwei Jahren, wissen Sie, irgendwann löst es sich auf. Ich denke also, wenn man diese vertrauenswürdigen Leute mitbringt und ganz transparent ist und die Wahrheit sagt, dann muss man wissen, was wahr ist, wenn man die Wahrheit sagen will. Ich bin auch nicht... Ich bin okay zu sagen, ich weiß nicht, lassen Sie mich auf Sie zurückkommen, aber es ist hilft. Ich denke, man hat technische Leute und Leute im Team, denen man vertrauen kann und die man, Sie wissen schon, einsetzen kann.
Garrett O'Hara: Ja. M- ganz bestimmt. Es würde mich nicht stören, wenn wir einfach bei dem bleiben würden, wo wir im Moment sind, nämlich bei der anhaltenden Beschleunigung. Und ich glaube, dass viele Organisationen damit zu kämpfen haben, dass wir manchmal ein Programm zur Sensibilisierung für Sicherheitsfragen oder zur Verhaltensänderung starten. Und alle sind aufgeregt, denn es ist alles neu. Und dann, wissen Sie, irgendwann lässt der Reiz der Neuheit nach, ja, das passiert bei den meisten Veränderungsprozessen irgendwann, und die Aufregung vergeht. Und jetzt müssen wir tatsächlich die Dinge tun, die eine gewisse Disziplin und Ausdauer erfordern, um sie zu erledigen.
Irgendwelche Profi-Tipps oder Vorschläge für die Zuhörer, wie sie sich durch dieses Tal kämpfen können, das unweigerlich kommen wird.
Andrew Pritchett: Ja. Ich meine, ich habe da ein paar Beispiele. Ich, ich glaube... Ich, ich, ich denke, dass... Hmm. Ich glaube, als ich hier angefangen habe, haben alle... Keiner hört sich diesen Podcast an, ja? Keiner hört zu, ja? Hoffentlich.
Garrett O'Hara: Niemand, ja.
Andrew Pritchett: Als ich angefangen habe... [lacht] als ich anfing, hatte jeder in der Firma Administratorrechte für seinen eigenen Computer. Sie konnten also jede Software installieren, die sie wollten. Wissen Sie, es war einfach... Sie können sich vorstellen, dass 1.400 Leute mit Admin-Rechten und ohne Standard-SOE, die Leute einfach installieren konnten, wissen Sie, und wie wir, wissen Sie, Systeme haben. Also haben wir das abgenommen. Und das war wirklich etwas, das sehr schmerzhaft war.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Es war ein... das war in meinen ersten paar Wochen erledigt. Das ist ein wirklich wichtiger Job für mich, [lacht] also habe ich eine Menge Hitze abbekommen. Wenn Sie sich vorstellen können, dass die Leute sagen: "Hey, ich möchte diese Software installieren." "Nein, das können Sie nicht."
Garrett O'Hara: Jepp.
Andrew Pritchett: Warten Sie kurz. Ich denke also, dass man ihnen eine Alternative bieten muss, wenn man das tun will. Wir haben es also getan, aber wir haben uns ein Bein ausgerissen, um sicherzustellen, dass sie nicht beeinträchtigt werden. Wir verpacken also in der Systemzentrale. Wir haben nach Alternativen gesucht. Man muss also... am Ball bleiben. Hätten wir einfach... Es ist wie ein Marathon. Wenn du einfach...
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... klar, wir hätten den Sprint der ersten Woche machen können. Und dann, etwa eine Woche später, hätten wir es nicht getan. Eine Woche später hätten wir es also rückgängig gemacht. Es kommt also darauf an, wie man sie aufrechterhält. Als ob das ein... Ich denke, das ist wirklich... Wir haben es also unterstützt, indem wir auf der richtigen Ebene Geschichten erzählt haben, um zu zeigen, dass dies im besten Interesse des Unternehmens ist. So können die Menschen eine emotionale Verbindung zu der Veränderung herstellen und sie unterstützen.
Garrett O'Hara: Ja.
Andrew Pritchett: Stellen Sie sicher... Dies ist ein perfektes Beispiel: Wir haben Barrieren beseitigt. Wenn die Leute also sagen können: "Nein, nein. Ich brauche Admin-Zugang, also muss ich dies tun können." "Okay, warum brauchst du es?" Wir setzen unsere besten Leute darauf an, um das Problem der Person zu lösen. Und oft bedeutete das, dass sie in einer besseren Position waren, wenn sie es selbst taten, weil es automatisiert und gescriptet war. Sie haben ihren Laptop gewechselt. Es brauchte sich um nichts zu kümmern. Es ist also wirklich fast wie eine Dienstleistung. Das ist also ein Aspekt davon. Der zweite Aspekt, bei dem ich denke, dass die Beschleunigung oder, Sie wissen schon, das Halten des Tempos wirklich gut ist. Wir hatten einen Mann hier, sein Name war Gavin Townsend, und wir konnten es uns irgendwie nicht leisten, eine Methodik zur Überwachung unserer Cyber-Reife zu entwickeln. Wir konnten es uns zwar leisten, waren aber der Meinung, dass es besser sei, das Geld in Technologien zu investieren, die unsere Unternehmen schützen, als in die Technologie zur Meldung, zur Meldung, wenn das Sinn macht.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Gavin hat also tatsächlich seine eigene Methodik entwickelt. Sie basierte auf dieser Grundlage, auf der ISO, und wir schrieben einen Bewertungsrahmen gut. Und wir verwenden diesen Bewertungsrahmen seit acht Jahren, um unserem Vorstand und unseren Führungskräften vierteljährlich zu präsentieren, wie wir uns entwickeln. Wenn man also die Dinge im Laufe der Zeit mit Zahlen belegt...
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... und diese schrittweisen Verbesserungen in diesen Zahlen zu zeigen, ist... Ich weiß nicht warum, aber es scheint in der menschlichen Natur zu liegen, sehr wettbewerbsorientiert zu sein. Und wenn man sieht, wie sich die Situation im Laufe der Zeit verbessert, dann fragt man sich: Wie willst du auf vier kommen? Also unsere Zahlen zwischen...
Garrett O'Hara: Jepp.
Andrew Pritchett: ... eins und sechs, und ich habe es vergeudet, wir waren eine drei, und jetzt sind wir fast bei einer vier, also reden wir nicht einmal über eine kleine inkrementelle Veränderung im Laufe der Zeit, sondern wir haben einen Rahmen dahinter, den wir tatsächlich einhalten, und wir sind auch sehr ehrlich, der es uns erlaubt, dann zu sagen, "Okay, wir sitzen jetzt bei einer vier, weil wir, wir haben gerade-"
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... "hat kürzlich eine CASBY-Lösung eingeführt. Das ist gut."
Garrett O'Hara: Jepp.
Andrew Pritchett: Und das bedeutete, dass wir von 3,9 auf vier kamen, wissen Sie, [lacht] also war vier unser Fünfjahresziel. Und dann freuen sich alle: "Oh, wir sind endlich bei vier. Was ist dein neues Ziel, Andrew?" Ich sage: "Weißt du, wir versuchen nur, auf vier zu kommen [lacht]. Ich will es nicht. Wir werden nicht bis fünf kommen, weil wir, wir... Sie wissen schon, wir werden viel Geld investieren müssen." Aber wir werden sie überarbeiten und ändern oder was auch immer. Aber ich denke, wenn man das hat, wissen Sie, und wir benutzen BitSight... Ja, BitSight auch. Ich weiß nicht, ob Sie mit BitSight vertraut sind?
Garrett O'Hara: Für Bedrohungsinformationen, meine ich?
Andrew Pritchett: Ja. Es ist... Es geht also um die externe Überwachung. Sie erhalten also einen BitSight-Score.
Garrett O'Hara: Ja.
Andrew Pritchett: Es verwendet also Honeypots und ein paar andere Dinge, um herauszufinden, wie...
Garrett O'Hara: Ja.
Andrew Pritchett: ... Ihre Sicherheitslage ist. Und es benutzt... nennen wir es mal IoI, aber es ist ein Algorithmus, der Ihnen eine Punktzahl gibt. Unser Vorstand und die Geschäftsführung wollen also jeden Monat meinen BitSight-Wert wissen. Und so haben wir das auf die Beine gestellt, und wir haben wirklich hart daran gearbeitet, es beizubehalten.
Garrett O'Hara: Jepp.
Andrew Pritchett: Wir hatten ein paar Mal einen Treffer, als wir... einmal hatten wir eine Kundenveranstaltung in unserem Büro in Perth, und jemand brachte einen abtrünnigen Laptop mit, der es irgendwie schaffte, unser Gast-Wi-Fi zu benutzen, und der wurde... er war infiziert und machte einige schlimme Sachen, und wir haben 60 Punkte verloren. Der BitSight-Wert liegt also zwischen 1 und 900. Eine gute Punktzahl liegt im Bereich von 700.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Und wir haben einen Verlust von 40 Punkten erlitten, weil jemand mit einem erratenen Wi-Fi reinkam. Es dauert also sechs Monate, bis wir sie zurückbekommen. Also, es ist ziemlich... ziemlich clever. Und der Grund, warum wir wussten, dass wir ein Problem in Perth hatten, war dieser BitSight. Wir... Es wurde nicht erkannt, weil es sich um ein Gast-WLAN handelte, das wir als nicht vertrauenswürdig behandeln, aber es kommt trotzdem aus unserem Netzwerk. Also schreiben sie uns das immer noch zu... Also das BitSight-Ergebnis. Wenn man also diese Metriken tatsächlich messen kann, erhält man eine echte, greifbare Art von...
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... Geschmack für die Leute zu gehen, "Okay, wissen Sie, sagen Sie mir, wie Sie gehen?" "Nun, hier sind ein paar Messwerte. Wir können Ihnen sagen, dass wir genau das tun." Sie können ihnen immer zeigen, ob Sie einen Angriff hatten oder ob Sie im Laufe der Zeit, über Jahre hinweg, keinen Angriff hatten, und diese konsistenten Metriken mit dem BitSight-Score mit einem, Sie wissen schon, einem Rahmen-Score von diesen noch etwas, ist eine wirklich gute Möglichkeit, es zu tun.
Garrett O'Hara: Ja. Also eine Art grüner Pfeil, der nach oben zeigt, oder eine Trendlinie, die nach rechts offen ist, und das verbindet dich mit den Leuten.
Andrew Pritchett: Ja. Oder sogar ein roter Pfeil, der nach unten zeigt, ist nicht schlecht, wenn es die Wahrheit ist.
Garrett O'Hara: Jepp.
Andrew Pritchett: Als wir den Vorfall mit dem Gäste-WLAN hatten, konnten wir das zeigen, und sie sagten: "Oh mein Gott, das ist ja schrecklich."
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Und das bedeutete für alle, die an der Kommunikation beteiligt waren, dass es sich nicht um eine Strafe handelte. Es war nichts Schlimmes.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Wir hatten keine... wir hatten keine Enthüllung oder so etwas, aber was es bedeutete, war, dass sie erkannten... das hat sie fast erzogen. Und sie sagen: "Okay, was machen wir mit diesem Gäste-Wi-Fi? Und dann fragen sie dich fast: "Was wirst du tun?"
Garrett O'Hara: Jepp.
Andrew Pritchett: Wissen Sie, wir reden darüber, was Sie mit Ihren Spiff-Platten machen werden? Wie ist das... wie ist das eine Konversation auf Vorstandsebene, die Sie fragt, was wir mit verschiedenen Arten von DNS-Einträgen machen werden. Ich denke, wenn Sie erklären, warum wir einen Rückschlag erlitten haben...
Garrett O'Hara: Ja.
Andrew Pritchett: ... und dann sagen sie: "Okay, das müssen wir ändern." Also... ich denke, es stellt auch eine Verbindung her, um die Komplexität ein wenig zu verstehen, weil es so wie... Ich meine, Sie würden es wissen. Das muss ich nicht... die Komplexität, alles zusammenzuhalten, mit Patches, mit Zertifikaten. Mit Drittanbietern, mit Drittlieferanten.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Sie wissen schon, Sicherheitsprodukte, Angreifer und Benutzer, die versuchen, die Systeme zu umgehen. Es ist sehr komplex. Also ja.
Garrett O'Hara: Das ist es. Ich habe... Ich habe sozusagen im Hintergrund eine Kampagne geführt, dass wir alle zur Anwaltschaft zurückkehren. Es gibt keine Polster. Und, [
Andrew Pritchett: lacht] das wäre besser.
Garrett O'Hara: Ja. Nur um zu hören, ich meine, dass wir alle arbeitslos werden, aber vielleicht ist das die Kehrseite der Medaille, aber ja, wir werden, wir werden es irgendwann schaffen. Und ich wollte... Es ist vielleicht, nicht geschwenkt, aber Sie wissen, bewegen, bewegen sich auf die Grundsätze, die Sie irgendwie in Ihrem Artikel auch skizziert. Denn das war sozusagen der zweite Teil des Artikels, der sich wirklich so anfühlte. Und Sie haben damit angefangen, dass Sie, wie Sie es ausdrücken, geduldig sind. Und einer der Zeitrahmen, die Sie in dem Artikel erwähnten, war, dass es... nun, Sie sagten acht Jahre, und dann sagten Sie fünf Jahre, aber wissen Sie, wir reden nicht von fünf Monaten, es ist eine vernünftige Zeitspanne, um an den Punkt zu gelangen, an dem man das Gefühl hat, dass eine Veränderung stattgefunden hat und die Kultur beginnt, sich zu verbessern. Aber ja, es wäre großartig, Sie darüber sprechen zu hören, dass... geduldig zu sein, scheint so ein... es sind nur zwei Worte, aber sie haben eine solche Auswirkung auf die Erwartungen, nehme ich an.
Andrew Pritchett: Ja. Ich, ich, ich lache, denn wir hatten einen Chat am Rande, ich glaube, in einer der... in einer E-Mail, als wir uns auf diesen Chat vorbereiteten, und du sagtest: "Ja, ich habe nicht wirklich Verwendung für Andrew, [lacht] um zu versuchen, das alles in Ordnung zu bringen. Mich interessiert einfach nur, wovon zum Teufel Sie reden." Ich denke, man muss die Leute mit auf die Reise nehmen, und es wird nicht eine Sache geben, die das Schlimmste ist, das Schlimmste, was passieren kann, ist, dass man nicht geduldig ist.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Und wenn man nicht geduldig ist, liegt das normalerweise daran, dass man gerade einen massiven Cyberangriff erlebt hat, dann ist das Unternehmen nicht geduldig. Das ist also ein, ein, nicht in Unternehmen, die Sie haben das Wort Pivot verwendet, wie geben Sie einfach, wissen Sie, unter investiert in Cyber oder haben nicht wirklich ernst genommen. Vielleicht sind sie nicht einmal zu wenig investiert, was den Dollar betrifft. Es ist einfach nicht so wichtig. Um also das Geld zu bedrohen...
Garrett O'Hara: Ja.
Andrew Pritchett: Die Hamadan-Stange hatte haufenweise Säle, ich habe haufenweise Zugeständnisse gemacht oder was auch immer, wissen Sie. Manchmal nicht einmal das. Manchmal ist es einfach Pech.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... wirklich Pech. Das ist einfach der falsche Ort, die falsche Zeit, ein schief gelaufener Flicken, etwas Dummes. Und dann werde ich angegriffen, und im Grunde genommen sind sie, die beiden Typen, "Nun, wir werden alle entlassen, und diese Person ist schuld." Und ich meine, dieser Ansatz ist nicht unbedingt... das ist... aber das ist es, was ich damit meine, nicht... also geduldig zu sein, was ich damit meine, ist, ja, wir haben herausgefunden, was wir über einen gewissen Zeitraum hinweg tun mussten. Ich meine, ich will mich nicht trauen. Das erste Mal, dass wir unter meiner Aufsicht einen Penetrationstest durchgeführt haben, hat sich sehr schnell das fehlende Glied herauskristallisiert.
Sie sind sehr schnell reingekommen. Es war wirklich sehr schlimm. Nein, es war nicht sehr schlimm. Es war eine wirklich gute Sache, dass sie reingekommen sind und das Problem beheben konnten. Aber Sie wissen, dass... Dann bekommen wir den Fahrplan, und dann können wir nicht... wir werden nicht in der Lage sein, dass ich zum Vorstand gehe und... Zwei Dinge. Ich werde nicht so viel Geld bekommen, wie ich will.
Garrett O'Hara: Jepp.
Andrew Pritchett: Es muss also schrittweise erfolgen. Und ich werde auch nicht in der Lage sein, den erforderlichen Wandel auf einmal zu vollziehen. Es muss schrittweise erfolgen, nicht nur von der Seite der Menschen her, sondern auch von der Seite der Dinge. Es handelt sich um eine technische Änderung. Man kann nicht einfach Systeme einbauen, die, Sie wissen schon, einfach so, weil man sicherstellen muss, dass die Dinge architektonisch aufeinander abgestimmt sind.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... man muss es so lange wollen. Wir müssen uns also Sorgen machen, auch wenn CASBY mit Netskope angewandt wird, das ist tatsächlich etwas, das ziemlich empfindlich sein wird. Dann muss man sie in die richtige Balance bringen, um die Erfahrung des Kunden oder der Nutzer nicht zu beeinträchtigen. Sie können diese Arbeit immer noch tun. Wir haben also mit "angefangen. Okay, was ist das Wichtigste... du weißt schon... Dies sind die Empfehlungen der Penetrationstester von Dritten. Okay, das machen wir also zuerst. Aber wir werden nicht dabei stehen bleiben. Wir werden in sechs Monaten einen erneuten Penetrationstest durchführen, um sicherzustellen, dass wir das Problem behoben haben und eine neue Liste erhalten." Und es ist wie ein Kreislauf, wie... also, du weißt schon, du machst weiter und baust deine Roadmap auf, schaust, was als nächstes kommt, es ist... Und es nimmt kein Ende. Wenn ich also sage, dass man geduldig sein soll, dann muss man irgendwo anfangen. Wenn ich sage, dass Menschen versuchen, alles zu tun, lachen sie manchmal nicht.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Sie mögen... sie haben unrealistische Wünsche. Am Ende stellen sie fest: Okay, der Typ ist ein Verrückter. Ich werde nichts davon machen, weil er alles machen will. Also musst du gehen, ". Okay, wir müssen realistisch sein. Man muss pragmatisch sein." Und Sie, Sie müssen geduldig sein. Sie müssen so etwas wie: "Okay, das sind die wichtigsten Dinge, die ich dieses Mal in Ordnung bringen muss." und das sind die nächsten, das sind die nächsten, und schrittweise wird man immer besser, besser, besser und fester, fester, fester. Was ich manchmal sehe, und das ist bedauerlich. Ich habe gesehen, wie einige wirklich kluge Leute CEO-Rollen bekommen haben, wirklich kluge, wirklich gute Leute. Und die Firma versteht nicht, dass sie jemanden hat, der wirklich gut und wirklich klug ist.
Und sie machen wirklich Druck und sagen: "Okay, dieser Typ ist... dieser Typ will das machen. Dann ist es dumm, dann ist es Geldverschwendung." Sie wissen, dass sie ihn loswerden wollen. Also denke ich...
Garrett O'Hara: Ja.
Andrew Pritchett: ... es geht wieder um das beste Interesse der Firma. Man kann sie nicht mit auf die Reise nehmen, und man muss es aus mehreren Gründen schrittweise tun: Veränderung, Budget, technische Veränderungen. Also ja.
Garrett O'Hara: Ja.
Andrew Pritchett: Ich glaube, das ist genau das, worüber ich gesprochen habe.
Garrett O'Hara: Ja, das tut es definitiv. Und das hallt tatsächlich nach... Phil Zongo war dabei, es ist... es fühlt sich an, als sei es schon eine Weile her, vielleicht ein Jahr, anderthalb Jahre. Aber er spricht über die Idee von realistischen Ergebnissen und wie wichtig das war, ganz im Sinne dessen, was Sie gerade gesagt haben. Einer der Fehler, die gemacht werden, ist, dass die Leute zu viel versprechen und nicht halten, was sie versprechen, was das Vertrauen bricht, und dann sind sie im schlimmsten Fall ihren Job los [lacht], aber im besten Fall werden die Leute ihnen einfach nicht mehr vertrauen.
Andrew Pritchett: Nun, sie können nicht mehr Investitionen bekommen.
Garrett O'Hara: Ja, ja, ja.
Andrew Pritchett: Sie können nicht das nächste Ding machen. Sie verlieren vielleicht nicht ihren Arbeitsplatz, aber sie sitzen fest.
Garrett O'Hara: Ja.
Andrew Pritchett: Und sie, wissen Sie, sie müssen einen Führungswechsel vollziehen. Wissen Sie, ich habe auch schon erlebt, dass sie stecken geblieben sind. Und dann kommt ein neuer CEO und der Kerl ist wieder ein Superstar, wissen Sie?
Garrett O'Hara: Ja.
Andrew Pritchett: Es ist also ein echtes... ein echtes, echtes Gleichgewicht. Die Analogie mit dem Drahtseil ist meiner Meinung nach wirklich gut.
Garrett O'Hara: Ja. Vielleicht kommen wir bei dieser Frage ein wenig vom Thema ab, aber Sie haben erwähnt, dass diejenigen, die wegen eines Verstoßes oder was auch immer in den Knast kommen, auch in den Knast kommen können. Und ich habe eine Art von Analystenstudie gelesen, in der es darum geht, wie viel wertvoller ein Sicherheitsverantwortlicher ist, wenn er tatsächlich einen Einbruch erlebt hat, wissen Sie, anstatt dass die Fragen bei einem Vorstellungsgespräch eher lauten: Waren Sie... waren Sie CSO in einem Unternehmen, in dem es einen Einbruch gegeben hat? Und das wird als etwas Schlechtes angesehen, obwohl es eigentlich eine gute Sache sein sollte.
Wissen Sie, wenn wir die Prämisse akzeptieren, dass... und, und Sie haben es irgendwie gesagt, wissen Sie, Patches schief gehen, bekommt man diese Reihe von Dingen, die, wenn man sie aneinander reiht, theoretisch nicht die... wissen Sie, alle richtigen Dinge getan haben, aber wissen Sie, in der Richtung war alles gut, und dann geht es schief, aber es wird als viel wertvoller angesehen, wenn sie durch einen Bruch gegangen sind, als wenn nicht. Was, was halten Sie davon [lacht]?
Andrew Pritchett: Ich glaube, es wurden noch nie wahrere Worte gesprochen.
Garrett O'Hara: Ja, ja.
Andrew Pritchett: Das ist der absolute Wahnsinn. Es ist absolut jenseits des Wahnsinns, einige der Dinge zu sagen, von denen ich gehört oder gesehen habe, dass wir... Ich meine, ich kann es nicht verraten, da ich es gesehen habe.
Garrett O'Hara: Ja.
Andrew Pritchett: ... einfach, einfach weg, und sie sind absolute Kanonen. Und das, weil...
Garrett O'Hara: Ja.
Andrew Pritchett: ... manchmal, und es ist, es ist, es ist einfach schrecklich für mich. Manchmal haben sie nichts mehr zu tun.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Sie haben erklärt, was zu tun ist. Und sie haben ihnen gesagt, was sie tun sollen. Und man hat ihnen gesagt: "Nein, so werden wir das nicht machen. Entschuldigung." Jemand, der nicht wirklich weiß, wovon er spricht, hat also eine Entscheidung getroffen, dass diese Person, die nicht weiß, wovon sie spricht, falsch liegt. Und dann passiert der Angriff oder etwas Schlimmes passiert. Und dann ist die Person, die sich am meisten bemüht hat, etwas zu ändern, diejenige, die, Sie wissen schon, "Nun, warum haben Sie uns das nicht gesagt?" Und du wirst sagen: "Nun, das habe ich." "Aber du hast es uns nicht gut genug gesagt." Oder Ihre Dias waren nicht... Ihre Dias waren nicht...
Garrett O'Hara: Ihre Dias waren nicht gut genug.
Andrew Pritchett: Ihre Folien waren nicht gut genug, [lacht] wissen Sie, Ihre E-Mail-Sprache war, wissen Sie, Sie haben uns nicht gesagt, dass es wirklich so war. "Sie haben mir gesagt, dass das passieren könnte. Du hast mir nicht gesagt, dass das passieren würde,".
Garrett O'Hara: Ja.
Andrew Pritchett: Es ist so verrückt, so verrückt. Ich glaube, ich habe schon einiges durchgemacht, auch in meinem Job, wo wir mit verschiedenen Szenarien zu tun hatten. Es gibt dir das... Es gibt Ihnen eine wirklich gute Grundlage, wie Sie es verstehen können und welche Taktiken Sie anwenden müssen, um Hilfe zu bekommen. Man muss Beziehungen aufbauen.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Wenn, Sie wissen schon, die Größe loswerden. Ich bringe aber eine neue Größe mit, und das bedeutet nicht, dass eine neue Größe gut ist. Das sage ich nicht... definitiv nicht. Aber selbst wenn sie die Besten der Welt sind, müssen sie erst einmal Beziehungen aufbauen. Sie müssen die Architektur und die Landschaft verstehen, die Politik, möglicherweise...
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... die Budgetbeschränkungen. Sie müssen sich darüber im Klaren sein, dass sie in ein Team kommen könnten, das auf die vorherige Größe oder den vorherigen Sicherheitsmanager ausgerichtet war. Es ist also so, als hätten sie ein feindseliges Team, ein feindseliges Umfeld, wissen Sie, es ist einfach... es sei denn, die Person hat... wenn die Person eine andere Leistung hat oder es sich tatsächlich um ein Fehlverhalten handelt, weiß ich nicht, was...
Garrett O'Hara: Ja.
Andrew Pritchett: ... Cybersicherheit.
Garrett O'Hara: Eine Art von Fahrlässigkeit oder so. Ja, ja, ja.
Andrew Pritchett: Fahrlässigkeit.
Garrett O'Hara: Ja.
Andrew Pritchett: Oder, oder... dann denke ich, dass ich für mich selbst, ich würde... Ich wäre eher geneigt, sie zu behalten. Und ich würde sagen, dass die meisten Manager-Ebenen, außer es ist... Wissen Sie, in den meisten Fällen ist es eher ein kulturelles Problem, das auftritt, als dass... Ich denke, wir haben darüber gesprochen und beginnen mit der Entwicklung der Kultur. Das ist es, worüber Sie hier sprechen: die Kultur der Cybersicherheit. Es geht nicht um Schuldzuweisungen. Sobald es zu einem Schuldzuweisungsspiel wird, hat man irgendwie verloren, weil man nicht alle Aspekte abdecken kann. Es ist fast unvermeidlich, dass es zu einem Angriff kommt. Ich meine, es ist nicht fast unvermeidlich. Das ist eigentlich unvermeidlich. Weißt du, wenn ich mit dir spreche, als ich darüber nachdachte, ob ich tatsächlich mit dir in diesem Podcast sprechen sollte, dachte ich: "Will ich mit dir in einem Podcast sprechen, damit irgendein Hacker irgendwo entscheidet, dass ich ein wirklich gutes Ziel bin?" So habe ich mir das buchstäblich gedacht. Es gibt kluge Leute da draußen.
Garrett O'Hara: Ja.
Andrew Pritchett: ... wirklich versuchen, Ihre Sachen zu bekommen, und es gibt keine... Ich stehe unter keiner, keiner... Ich, weißt du, ich versuche, das richtige Wort zu finden, wo keine Illusion...
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... dass diese Leute keine Werkzeuge haben. Diese Leute sind nicht schlau. Diese Leute sind nicht so organisiert, dass sie wissen, was sie tun. Wahrscheinlich... wissen Sie, wahrscheinlich gibt es einen Haufen von ihnen, die gerade diesen Podcast hören. Sie wissen schon, einfach so: "Das ist großartig. Ich wünschte, ich... Ja. Wir werden also Folgendes tun. Wir fälschen die Stimme dieses Mannes und rufen den CEO an und bitten ihn um etwas," you know. Das ist einfach... eine wirklich interessante Sache. Aber im Interesse des Allgemeinwohls sollten wir darüber reden, damit die Leute...
Garrett O'Hara: Ja.
Andrew Pritchett: ... wird eine bessere, bessere Chance haben, wissen Sie. Es ist ein echter...
Garrett O'Hara: Ja. Ich kann nicht... Ich kann nicht... Du hast doch gerade gesagt, dass wir über diese Dinge reden müssen. Ich meine, ich genieße diese Gespräche natürlich, aber wissen Sie, es geht hier um den Wert für die breitere Gemeinschaft der Sicherheitsdienste. Das ist der einzige Sinn dieses Podcasts. Und ich denke, dass diese Gespräche sehr hilfreich sind, denn seien wir mal ehrlich, die andere Seite des Zauns tut genau das in Foren im Dark Web und an all den Orten, an denen solche Gespräche stattfinden. Und ja, dass der CSO gefeuert wurde, ich meine, ich denke, es ist... die einzige Erklärung, die ich jemals wirklich sehen konnte, ist, dass es ein guter PR-Schachzug ist, wenn man es für, Sie wissen schon, für PR-Zwecke tun muss. Aber ich denke, vom Standpunkt der Gesamtsicherheit aus betrachtet, ist das kein gutes Ergebnis.
Andrew Pritchett: Das könnte sich ändern. Ich denke...
Garrett O'Hara: Mm-hmm [bejahend]. Ich hoffe, dass es so ist.
Andrew Pritchett: Ich denke, wenn sie tatsächlich eine PR-Perspektive einnehmen würden, dann würden wir aus diesen Gründen bei CSO bleiben. Das würde auf dem Markt wahrscheinlich besser ankommen als ". Okay, diese Leute interessiert es tatsächlich. Diese Leute wissen es, diese Leute sind tatsächlich eingeschaltet." Sie werden ein besseres Ergebnis erzielen, als wenn sie sagen: "Oh ja, das hatten wir schon." Es sind nicht immer die... Es sind auch nicht immer die SCO, die rausgeschmissen werden. Manchmal ist es der IT-Manager, oder dieser... oder der, der immer... der, der mir in den Sinn kommt, war eigentlich der IT-Manager. Er war also der IT-Manager, nicht der IT-Sicherheitsexperte. Also haben sie den IT-Manager entlassen und den IT-Sicherheitsbeauftragten behalten, weil, du weißt schon, und der Typ ist... Ich habe den Kerl getroffen, er ist so aufgedreht, keine Chance, dass er... du weißt schon, also ist es ja.
Das ist eine wirklich interessante Sache. Ich denke also, dass eine gute... wenn eine kluge Gruppe darüber nachdenkt, sie, Sie wissen schon, sie könnte tatsächlich sagen, "Okay, wir werden es als PR nutzen, aber wir werden den umgekehrten Weg gehen, den wir sehen, dass-"
Garrett O'Hara: Ja.
Andrew Pritchett: ... wissen Sie, und es könnte... es könnte sich drehen.
Garrett O'Hara: Ja, das kann man nur hoffen. Das werden Sie auf jeden Fall hoffen. Die Zeit drängt, aber ja, ich würde gerne zu dem nächsten Prinzip übergehen, das Sie hatten, wenn Sie weiterreden können,
Andrew Pritchett: Ja, ja, nur zu.
Garrett O'Hara: Können wir? Jepp. Das heißt, es wird ausgeglichen. Und ich werde Sie in diesem Fall zitieren. In vielen Unternehmen herrscht immer noch eine "Wir und die anderen"-Mentalität. Und wenn Sie diesen Drahtseilakt nicht sorgfältig vollziehen, werden Sie feststellen, dass die Leute, die um Sie herum arbeiten, eher als die Art und Weise, wie Sie... und wir haben bereits ein wenig darüber gesprochen, aber wissen Sie, was ich denke, da viele Cybersicherheitsleiter über die Leute und die Politik des Jobs sprechen, und worauf ich hinaus will, ist, wie Sie gesehen haben, dass die Leute erfolgreich diese Linie zwischen ihnen und uns gehen. Und die Nuance bei dieser Frage ist vielleicht, wie man das macht und gleichzeitig die Dringlichkeit, über die Sie gesprochen haben, vorantreibt, Sie wissen schon, die brennende Plattform, das, was eine aggressive Agenda sein könnte, wissen Sie, das, dieser Drahtseilakt scheint einfach so schwierig zu sein.
Andrew Pritchett: Ja. Ich habe also tatsächlich eine Person. Es gab da einen... es gibt einen Mann in der Branche namens Peter McLeod. Er war der SCO der Firma, bei der ich gearbeitet habe. Ich lache nur, weil er nur ein einziges Mal die Chance hatte, sich vor dem Vorstand zu präsentieren. Und er hat sich alle Passwörter besorgt. Ich sage, er hat all ihre Passwörter geknackt. Und er hat einfach eine Folie aufgehängt... im Sitzungssaal mit dem Passwort aller Anwesenden, das sie... einfach[inaudible 00:52:09] dort diese Folie, die ich Ihnen zeigen möchte. Er versucht, einen Punkt zu erreichen, an dem er das SOE auf eine andere Version von Windows aktualisiert. Und die Version von Windows, die hatte, war bekannt. Man könnte die Passwörter wirklich ganz leicht knacken. Und so hatte er einfach die Folie da oben, auf der alle Vorstandsmitglieder zu sehen waren... es stand nicht dabei, welches Passwort sie hatten, aber er sagte einfach: "Ich habe nur eine Folie, die ich Ihnen heute zeigen möchte." Und er hat diese Folie mit all ihren Passwörtern aufgehängt.
Das Passwort aller Anwesenden wird auf dem Bildschirm angezeigt. Und alle waren sich einig, dass sie genau wissen, was passiert. Sie hatten ein paar blöde Passwörter, wie HomerSimpson11, und alle saßen ein paar Sekunden lang da [lacht]. Und wenn sie auf den Bildschirm schauen, ohne es zu merken, dann haben sie irgendwie gemerkt, dass sie da oben Passwörter haben, aber sie haben alle zur gleichen Zeit die gleiche Erkenntnis gehabt. Ich war bei diesem Treffen nicht dabei, weil ich... ich war nur der Netzwerker, aber er kam zurück und sagte mir... er kam zurück zu mir und sagte... Er saß neben mir und sagte: "Ja, wir rüsten auf. Alles gut." [lacht] Ich musste gehen, [unhörbar 00:53:03] "Ich habe morgen vielleicht keinen Job mehr, aber wir rüsten auf." Er hat im Grunde...
Garrett O'Hara: Großartig.
Andrew Pritchett: ... [Crosstalk 00:53:07] den Raum. Ich denke, das ist wahrscheinlich... er hat versucht... er hat schon lange darum gebeten, das zu bekommen, wissen Sie, vielleicht sechs Monate bis ein Jahr lang, und dann hat er gesagt: "Ich habe es satt. Ich versuche es einfach mal mit einem "stumped"." Ich denke also, das ist vielleicht ein Beispiel dafür, dass ein übertriebener Einsatz trotzdem zu einem Ergebnis führt. Danach war er noch jahrelang dort. Er war also wirklich sehr angesehen. Und es gab viele, viele Gelegenheiten, bei denen er sich aus dem Staub gemacht hat, wissen Sie. Er war der Ansprechpartner, wenn es um interne Cyberspionage ging, denn es gab Partnerschaften, Leute, die das Unternehmen verließen und Kunden mitnehmen wollten, und all so etwas.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Er hat sich also über einen langen Zeitraum hinweg einen guten Ruf erworben. Ich denke also, das ist... Ich denke, dass unsere Hauptseite, wenn nötig, bereit ist, die Grenzen dessen, was gesellschaftlich akzeptabel ist, zu überschreiten. Auf der anderen Seite ist er aber auch sehr zugänglich und konnte in 100 % der Situationen, in die er geraten ist, einen echten Mehrwert bieten. Und er war definitiv kein Nein-Sager. Es war also fast wie ein "Nein, das können wir nicht machen, aber lasst mich darüber nachdenken, und ich komme dann auf euch zurück." Das ist ein Ansatz, den wir stattdessen wählen könnten, oder hier ist ein anderer Weg, wie wir es machen könnten, oder wir kommen zurück und sagen: "Schauen Sie, wir können es in diesem Fall nicht reparieren, weil wir historisch gesehen nicht die Daten haben, aber das ist, was wir in Zukunft tun könnten, wenn Sie diese Daten haben wollen. Also das nächste Mal." Ich denke also, ja, man muss hart arbeiten.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Aber man muss auch realistisch sein. Und, und, und, weißt du, ich denke, dass... du auf ihrer Seite sein musst, und so ist es nicht ein wir gegen sie, aber manchmal musst du, weißt du, witzig, geistreich da draußen sein, und wirklich den Status Quo herausfordern. Ich hoffe, es macht mir nichts aus, seinen Namen zu nennen und zu sagen, was er getan hat.
Garrett O'Hara: Das können wir rausschmeißen [lacht], wenn es sein muss.
Andrew Pritchett: Nein, ich denke, Sie kommen schon zurecht.
Garrett O'Hara: Ja.
Andrew Pritchett: Ich erinnere mich. Ich erinnere mich tatsächlich an diese Zeit. Und das habe ich zwar noch nicht gemacht, aber ich bin auf jeden Fall mit einer Geschichte über einen Partner, der X gemacht hat, zu einem Treffen gegangen, ohne den Namen zu nennen, aber ich habe die Erlaubnis des Partners eingeholt und gesagt: "Hey, macht es Ihnen etwas aus, wenn wir diese Geschichte verwenden, sie ist eine wirklich gute Lektion?
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Er sagt, wissen Sie, normalerweise, ja, das ist okay. Und dann habe ich das aufgehängt, und das hat bei dieser Gruppe von Menschen wirklich etwas bewirkt, weil sie sehen konnten, wie leicht es ihnen passieren kann.
Garrett O'Hara: Ja, ja. Ein Unternehmen zu einem Menschen machen, nehme ich an. Do... das nächste Prinzip, und ich bin mir der Zeit in diesem Stadium bewusst, aber es ist... Das wäre ein Coach, womit sich der Kreis zu den Bowling-Tagen schließt, in denen [lacht] man den Leuten beibrachte, wie man bowlt, ohne ein Bowler zu sein, aber in dem Artikel, den Sie kontrastieren, denke ich, dass dies ein so wichtiger Punkt ist, wenn Sie den Unterschied in den Ergebnissen kontrastieren, wenn der kulturelle Wandel durch positive Belohnungen und Feedback vorangetrieben oder katalysiert wird, anstatt durch negative Konsequenzen oder angstbasierte Ansätze, und es wäre gut, darüber ein wenig zu sprechen.
Andrew Pritchett: Ja. Ich glaube also, ich meine, ich glaube zu 100 % daran, ich glaube, wenn man tatsächlich versucht, zurückzuschlagen und, Sie wissen schon, keine Rücksicht auf Egos und Interessengruppen und all diese anderen Dinge nimmt...
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... man kann sich in einer Situation befinden, in der man das Schlimmste... das Schlimmste in der Bejahung einer schlimmen Situation. Um noch einmal auf Gavin zurückzukommen, der hier war. Er hat wirklich gute Arbeit geleistet, indem er diese ganze, Sie wissen schon, Coaching-Mentalität aufgebaut hat. Und das setzt sich in dem Team fort, das in dem Cyberteam ist, das aus einem Typen namens Taylor und einem Typen namens Ben besteht. Und wissen Sie, sie bemühen sich wirklich sehr, etwas zu erklären... sie machen sich die Mühe, zu erklären und zu helfen. Und wenn jemand etwas Gutes tut, dann wird dieses Lob auch noch verdoppelt. Das beste Beispiel dafür ist, dass wir... Ich meine, natürlich wird unsere SCO ständig angegriffen.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ... Sie versuchen, sie dazu zu bringen, Geld zu wechseln, und wissen Sie, manches kommt durch oder wird von jemand anderem durchgeschleust. Das ist nicht einmal sie selbst, die angegriffen wird, sondern jemand anderes, der sich für sie ausgibt, [lacht] wissen Sie, das ist wirklich ein ziemlich schwieriges Szenario. Aber sie ist wirklich fantastisch darin, diese Angriffe aufzufangen, und sie ist wie, wissen Sie, das ist keine Herausforderung für jeden da draußen, um zu sehen, ob ich meinen CFO austricksen kann, aber sie ist wirklich gut darin... gut darin. Und wenn wir also, Sie wissen schon, dem Vorstand oder jemand anderem etwas präsentieren, könnte ich eine der Geschichten verwenden, in denen sie tatsächlich gearbeitet hat, und ihnen E-Mails zeigen, damit der Vorstand...
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: ...heilige Scheiße, darauf wäre ich vielleicht reingefallen.
Garrett O'Hara: Jepp.
Andrew Pritchett: Und, wissen Sie, dadurch... wird der CFO in den Augen des Vorstands als jemand angesehen, der sich wirklich um Cyberfragen kümmert. Und dann legt sie noch einen drauf und macht sich wirklich Sorgen. Sie kümmert sich schon sehr, aber sie weiß, dass sie auf der richtigen Ebene positive Anerkennung bekommen kann. Und dann macht sie es weiter. Aber das liegt daran, dass wir die Lorbeeren verteilen. Wir erkennen das gute Verhalten an und bestrafen nicht nur das schlechte Verhalten. Nicht das schlechte Verhalten, sondern die Fehler.
Garrett O'Hara: Ja.
Andrew Pritchett: Das ist also etwas, das meiner Meinung nach wirklich einen Unterschied macht. Ich habe gesagt, dass ich dort trainiert werde. Das Training muss also lustig sein. Die Schulung muss kurz und ansprechend sein. Wenn du dir selbst hilfst, darfst du nicht sagen: "Nein, das können wir nicht tun." Es ist wie, okay, hier ist, was wir tun werden. Das ist die Risikotoleranz. Wie hoch ist Ihre Risikotoleranz? Ja. Denn alles ist in gewisser Weise mit einem Risiko verbunden.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Nichts ist perfekt.
Garrett O'Hara: Jepp.
Andrew Pritchett: Wir haben vor ein paar Monaten eine Lösung entwickelt, bei der wir die Risiken identifiziert haben und diese abgemildert haben, aber wir haben den Partner und den Kunden dazu gebracht, sich darauf zu einigen, dass dies akzeptable Risiken sind, die wir einfach nicht übernehmen.
Garrett O'Hara: Jepp.
Andrew Pritchett: Aber das hat sie zum Nachdenken angeregt, darüber, was sie beim nächsten Mal beachten sollten. Das nächste Mal müssen wir also nicht unbedingt dabei sein. Und dieser Partner, wir denken, "Oh, Moment mal, das könnte ein Authentifizierungsproblem oder ein Verschlüsselungsproblem oder, Sie wissen schon, oder ein Problem mit dem Datenschutz sein." Wir sollten also diesen Prozess durchlaufen und wirklich jede Gelegenheit oder Interaktion nutzen, um etwas zu erklären. Und damit meine ich nicht, dass ich etwas erklären soll, sondern dass ich sage: "Hier ist die Lösung, sie ist wirklich gut. Und das sind die Dinge, die wir in Betracht gezogen haben, und das sind die Abhilfemaßnahmen, die wir für Sie haben. Fühlen Sie sich wohl? Wir sind der Meinung, dass wir uns hier in neun von zehn Fällen wohl fühlen.
Garrett O'Hara: Ja.
Andrew Pritchett: ... was denkst du... was denkst du? Auf diese Weise können sie gehen: "Okay. Richtig. Ich denke, das ist in Ordnung." bis manchmal sind wir sogar den Weg gegangen, zum Cybersicherheitsteam des Kunden zu gehen und mit ihnen zu klären, ob sie der Meinung sind, dass, Sie wissen schon, alle damit einverstanden sind. Um ehrlich zu sein, haben wir in der Regel nicht mit dem Cybersicherheitsteam zu tun, sondern mit der Person, mit der wir normalerweise zu tun haben, z. B. mit dem Finanzchef eines Kunden oder mit jemandem in dieser Richtung. Und sie haben wirklich, wirklich... Es ist, es ist, es ist faszinierend. Sie stehen vor der gleichen Herausforderung: Sie müssen sich absichern, weil sie auch für andere Dinge verantwortlich sind. Wenn also ihr Cybersicherheitsteam und unser Cybersicherheitsteam darin übereinstimmen, dass das Risiko vorhanden ist, dann ist es zwar ein greifbares Risiko, aber in diesem Szenario akzeptabel.
Garrett O'Hara: Ja.
Andrew Pritchett: Das gibt ihnen die Gewissheit, dass sie auch bei den Absteigern intern den richtigen Prozess durchlaufen haben. Es geht also darum, sie mit auf die Reise zu nehmen, sie zum Verstehen zu bringen und jede einzelne dieser Interaktionen zu nutzen, um die Prinzipien zu verstärken. Und es geht fast zurück zur brennenden Plattform, nicht wahr?
Garrett O'Hara: Mm-hmm [bejahend]. Ja, ja.
Andrew Pritchett: Verstehen Sie, warum Sie das tun?
Garrett O'Hara: Und es ist eine Sache, die man nicht zu einem bestimmten Zeitpunkt macht. Das ist wahrscheinlich das Wichtigste, was ich aus diesem Gespräch mitnehme. Es sind kleine, schrittweise Veränderungen, Tag für Tag, Tag für Tag, die einen an den Punkt bringen, an dem man erfolgreich ist. Wissen Sie, die Zeit drängt, aber ich bin sehr daran interessiert, im Sinne eines Abschlusses zum letzten Grundsatz zu kommen. Und Sie sprachen von Transparenz, was wir im Laufe des Gesprächs auch schon angesprochen haben. Und Sie haben einige der Kennzahlen und Geschichten erwähnt, die Sie verwendet haben, um die Führung auf diese Reise mitzunehmen, eine Reise, irgendwelche letzten Gedanken dazu, während wir hier ausklingen, Andrew, das ist die letzte Frage, das verspreche ich. So. (lacht)
Andrew Pritchett: Ich bin eigentlich... Ich bin eigentlich ziemlich dankbar, dass ich überhaupt die Chance habe zu reden, denn ich denke, es ist... einiges von dem, was andere Leute durchmachen werden und nicht wissen, wo sie anfangen sollen oder wie weit sie gehen können. Oder es ist wirklich schwierig, denn wenn man mit einem Vorstand spricht, gibt es ein bestimmtes Maß an Transparenz, das man ihm geben möchte. Und es ist alles... man kann auch... man darf nie lügen und man darf nie Informationen zurückhalten, aber man darf auch nicht alles sagen, weil es überwältigend sein kann.
Garrett O'Hara: Jepp.
Andrew Pritchett: ... und es kann unnötigen Stress verursachen. Wissen Sie, im Cyberspace ist es sowieso ein ständiger Stress. Ich glaube, es ist wirklich wichtig, dass man in seiner eigenen Kultur und in seinem eigenen Unternehmen herausfinden muss, wie viel Transparenz man tatsächlich geben kann. Aber wenn ich von Transparenz spreche, was ich in der Vergangenheit gesehen habe, wenn jemand sie vielleicht optimistisch genutzt hat, dann wird er etwas nutzen, das, Sie wissen schon, sagen wir 10 Datenpunkte hat. Neun Daten-Byte-Punkte ein niedrigerer Müll und machen... es ist wirklich schlecht.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Aber ein Datenpunkt ist eigentlich ziemlich gut, also wähle ich diesen einen Datenpunkt, der ziemlich gut ist, und teile ihn mit, und alle werden sich gegenseitig auf die Schulter klopfen. Und ich sagte: "Leute, das ist verrückt."
Garrett O'Hara: Ja.
Andrew Pritchett: Man hat sozusagen eine verzerrte Sichtweise darauf. Ich denke also, wenn ich an Transparenz denke, denke ich daran, sicherzustellen, dass die Leute, mit denen man zu tun hat, eine ehrliche Perspektive haben, die weder zu sehr ins Positive noch ins Negative geht, und das dann auszugleichen, das ist... Ich denke, das Wichtigste dabei ist, dass man, wenn man angegriffen wurde, sicherstellen muss, dass man, zum Wohle der Gemeinschaft, transparent damit umgeht.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Sie sagen den Kunden, wissen Sie, viele... viele Leute, ich... wissen Sie, nicht viele Leute, die ich jetzt kenne, aber ich habe eine Art von Horrorgeschichten gehört, in denen Unternehmen, Sie wissen schon, jeder ist wirklich wie ein Komplize, der wusste, dass etwas nicht stimmt, aber er hat eine Zeit lang nichts dagegen unternommen. Dann wurde es immer schlimmer. Es ist einfach so, dass man sich sofort darum kümmern muss. Ich habe eine absolut großartige Risikomanagerin in unserer Firma, ihr Name ist Joe. Wir haben also eine offene Kommunikation. Nichts ist geheim, nichts an der Arbeit ist, Sie wissen schon, nichts ist geheim, komplett angepasst, keine Politik, direkt, direktes Reden.
Ich denke also, das ist definitiv... und dann, wenn wir am Ende sind - nicht am Ende, aber fast am Ende - frage ich: Was sollten wir deiner Meinung nach tun? Und dann, wenn ich mit dem Vorstand zu tun habe, ist es wichtig, mit Daten transparent zu sein, und ich denke, dass es sehr wichtig ist, auf die Datengeschichte zurückzukommen, damit die Leute einen Eindruck davon bekommen, wo man steht, und das kann aufgerollt werden, um transparent zu sein, aber gleichzeitig nicht zu viele Details zu geben, die unnötige Sorgen verursachen.
Ich denke, der Fahrplan ist wirklich wichtig, und der Haushalt. Wenn ich ehrlich bin, denke ich, dass eines der besten Dinge, die wir getan haben, ein Benchmarking der Investitionen in die Cybersicherheit war. Das haben wir gegen Gartner getan. Wir haben also den prozentualen Anteil der IT-Einnahmen, den prozentualen Anteil der Cyberbetrugseinnahmen und den prozentualen Anteil der IT an den Cybereinnahmen.
Garrett O'Hara: Mm-hmm [bejahend].
Andrew Pritchett: Und Gartner hat die Benchmarks für die verschiedenen Branchen. Und wir können dann sagen: "Okay, tun wir eigentlich genug? Wie passen wir da hinein?" Und das ist etwas, von dem ich weiß, dass es gut für die Transparenz ist, dass wir es dann dem Vorstand mitteilen. Wenn sie also sagen: "Tust du genug? So sieht unser Budget aus, so viel geben wir aus, so sieht unser Handeln aus." Also kein Verstecken von Dingen. Ja, das ist wirklich schwierig, weil ich irgendwie im Zwiespalt bin, weil man sich eine Menge Probleme einhandeln kann, wenn man... man kann nicht nicht transparent sein, man muss ehrlich sein, und man kann nichts verbergen.
Garrett O'Hara: Ja.
Andrew Pritchett: Aber wenn man zu viel redet, das ist wahrscheinlich der beste Weg zu sagen, wenn man zu viel redet, dann erzeugt man unnötige Sorgen und, und, und Panik und Stress und man konzentriert sich am Ende möglicherweise auf die falschen Dinge.
Garrett O'Hara: Ja.
Andrew Pritchett: Ja.
Garrett O'Hara: Ja, genau.
Andrew Pritchett: Sie würden sich auf die Berichterstattung konzentrieren, anstatt, Sie wissen schon [lacht].
Garrett O'Hara: Ja.
Andrew Pritchett: ... ich - Protokollierung.
Garrett O'Hara: Stattdessen. Ja, ja. Eigentlich geht es darum, die Arbeit zu tun, zu erledigen. Es ist ein bisschen so, wie wir es, glaube ich, vorhin gesagt haben... in dem Gespräch über die, Sie wissen schon, die erstaunliche Präsentation oder Ihre Entschuldigung, Ihre Präsentation war nicht gut genug, war es das, was wir gesagt haben?
Andrew Pritchett: Ja.
Garrett O'Hara: Andrew, ich habe dieses Gespräch wirklich sehr genossen. Vielen Dank, dass Sie so transparent sind, ganz im Sinne des phänomenalen Artikels über die Prinzipien. Wir werden das in den Notizen zu dieser Folge erwähnen. Vielen Dank für den Artikel und natürlich auch dafür, dass Sie sich heute Zeit für uns genommen haben. Ja, ich weiß das sehr, sehr zu schätzen.
Andrew Pritchett: Nein, ich weiß die Gelegenheit zu schätzen. War nett, mit Ihnen zu reden.
Garrett O'Hara: Gleichfalls. Vielen Dank an Andrew für sein Kommen und für seine großartigen Ausführungen über eine positive Kultur der Cybersicherheit. Wie immer vielen Dank, dass Sie den Get Cyber Resilient Podcast gehört haben. Stöbern Sie in unserem Episodenkatalog, abonnieren Sie uns und hinterlassen Sie uns bitte eine Bewertung. Bis dahin, bleiben Sie sicher, und ich freue mich darauf, Sie in der nächsten Folge wiederzusehen.